Windows 部分小技巧的使用

陆陆续续谈微软漏洞的文章越来越多了，但是相对的安全技巧和配置的却很久没有见过朋友们发，SO，今天慕容总结一下POST出来，希望大家可以一起来完善这份TIPS，让我们的系统更加安全和稳定。
1．解除NetBios与TCP/IP协议的绑定
说明：NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：NT：控制面版——网络——绑定——NetBios接口——禁用 2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
2.删除所有的网络共享资源，在网络连接的设置中删除文件和打印共享，只留下TCP/IP协议
说明：NT与2000在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。（卸载"Microsoft 网络的文件和打印机共享"。当查看"网络和拨号连接"中的任何连接属性时，将显示该选项。单击"卸载"按钮删除该组件；清除"Microsoft 网络的文件和打印机共享"复选框将不起作用。）
默认情况下IPC$每次开机都会启动，在开始菜单---启动里加一个bat东东啦：我加了2种方法，有时候默认从1 开始的方法失败的很。
@echo off


:Rem 检查参数
if {%1}=={} goto :Usage

:Rem 程序主体
echo.
echo ------------------------------------------------------
echo
echo 删除当前的系统共享目录
echo
:Usage
net share %1$ /delete
net share %2$ /delete
net share %3$ /delete
net share %4$ /delete
net share %5$ /delete
net share %6$ /delete
net share %7$ /delete
net share %8$ /delete
net share %9$ /delete

net share admin$ /del
net share ipc$ /del
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share g$ /del
net share h$ /del
net share i$ /del

echo
echo 共享目录全部删除完毕
echo
echo ------------------------------------------------------
echo
echo 修改注册表项，修改系统默认共享属性
echo
echo 生成 delshare.reg 准备修改注册表
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo 运行 delshare.reg 修改注册表
regedit /s c:\delshare.reg
echo 删除 delshare.reg 临时文件
del c:\delshare.reg
goto :END

echo
echo ------------------------------------------------------
echo
echo Windows NT/2000 系统默认共享清除工具，成功完成清除工作
echo
echo 作者：swap
echo 主页：http://www.feelids.com
echo 请先关闭安全策略中安全选项：sam枚举（对匿名连接的额外限制）
echo ------------------------------------------------------
echo

:EOF

　3.使用ACCESS来为数据库文件编码及加密。首先在选取 "工具->安全->加密/解密数据库，选取数据库（如：data.mdb），然后接确定，接着会出现 "数据库加密后另存为"的窗口，存为：data1.mdb。 接着employer.mdb就会被编码，然后存为data1.mdb
说明：很多中小型网站的后台数据库都使用了access，但是常因为路径或者其他信息泄露而被入侵者搞到，并且多数时候密码均为明文（傻子也会复制粘贴啦）

外一种复杂点的方案，禁止匿名获得用户名列表
Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接，实际上win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值： 0：None. Rely on default permissions（无，取决于默认的权限 1 ：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表 (NetServerTransportEnum等等，对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋了，所以我推荐你还是设为1比较好。好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了
4．禁止显示上次登陆的用户名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT \CurrentVersion\winlogon项中的Don't Display Last User Name串数据改成1，这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\
WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1，隐藏上次登陆控制台的用户名。其实，在2000的本地安全策略中也存在该选项
Winnt4.0修改注册表：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增加DontDisplayLastUserName，将其值设为1。

5．关于IIS服务器的安全，推荐使用IIS Lock Tool
使用它可以大大增强IIS服务器的安全性，我们可以通过更改相关策略来做出自己喜欢的配置
下载地址：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362
详细使用方法（太长了，所以不写出来了）http://www.cnxhacker.com/20011010/200256_1.shtml
6．说到IIS Lock Tool，就不可以不提到URLScan
URLScan是微软专业增强系统安全性而推出的好东西，我个人猛推荐。
和一般软件一样安装，但是，此软件不能选择安装路径，安装完成以后，我们可以在System32/InetSvr/URLScan目录下找到以下文件：

　　urlscan.dll：动态连接库文件；
　　urlscan.inf：安装信息文件；
　　urlscan.txt：软件说明文件；
　　urlscan.ini：软件配置文件，这个文件很只要，因为对URLScan的所有配置，均有这个文件来完成。
软件的配置

　　软件的配置由urlscan.ini文件来完成，在配置此文件以前，我们需要了解一些基本知识。

　1）urlscan配置文件的构造形式

　　urlscan配置文件必须遵从以下规则：

　　（1）此文件名必须为urlscan.ini；

　　（2）配置文件必须和urlscan.dll在同一目录；

　　（3）配置文件必须是标准ini文件结构，也就是由节，串和值组成；

　　（4）配置文件修改以后，必须重新启动IIS，使配置生效；

　　（5）配置文件由以下各节组成：

　　[Option]节，主要设置节；
　　[AllowVerbs]节，配置认定为合法URL规则设定，此设定与Option节有关；
　　[DenyVerbs]节，配置认定为非法URL规则设定，此设定与Option节有关；
　　[DenyHeaders]节，配置认定为非法的header在设立设置；
　　[AllowExtensions]节，配置认定为合法的文件扩展名在这里设置，此设定与Option节有关；
　　[DenyExtensions]节，配置认定为非法的文件扩展名在这里设置，此设定与Option节有关；

　　具体配置

　　（1）Option节的配置，因为Option节的设置直接影响到以后的配置，因此，这一节的设置特别重要。此节主要进行以下属性的设置：

　　UseAllowVerbs：使用允许模式检查URL请求，如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝；如果设置为0，所有没有在[DenyVerbs]设置的URL请求都认为合法；默认为1;

　　UseAllowExtensions：使用允许模式检测文件扩展名；如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求；如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求；默认为0;

　　EnableLogging：是否允许使用Log文件，如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤；

　　AllowLateScanning：允许其他URL过滤在URLScan过滤之前进行，系统默认为不允许0;

　　alternateServerName：使用服务名代替；如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的"Server"；

　　NormalizeUrlBeforeScan：在检测URL之前规格化URL；如果为1，URLScan将在IIS编码URL之前URL进行检测；需要提醒的是，只有管理员对URL解析非常熟悉的情况下才可以将其设置为0；默认为1；

　　VerifyNormalization：如果设置为1，UrlScan将校验URL规则，默认为1；此节设定与NormalizeUrlBeforeScan有关；

　　AllowHighBitCharacters：如果设置为1,将允许URL中存在所有字节，如果为0，含有非ASCII字符的URL将拒绝；默认为1；

　　AllowDotInPath：如果设置为1，将拒绝所有含有多个"."的URL请求，由于URL检测在IIS解析URL之前，所以，对这一检测的准确性不能保证，默认为0；

　　RemoveServerHeader：如果设置为1，将把所有应答的服务头清除，默认为0;

　　（2）[AllowVerbs]节配置

　　如果UseAllowVerbs设置为1,此节设置的所有请求将被允许，一般设置以下请求：

　　GET、HEAD、POST

　　（3）[DenyVerbs]节配置

　　如果UseAllowVerbs设置为0，此节设置的所有请求将拒绝，一般设置以下请求：

　　PROPFIND、PROPPATCH、MKCOL、delete、PUT、COPY、MOVE、LOCK、UNLOCK

　　（4）[AllowExtensions]节设置

　　在这一节设置的所有扩展名文件将被允许请求，一般设置以下请求：

　　.asp、.htm、.html、.txt、.jpg、.jpeg、.gif，如果需要提供文件下载服务，需要增加.rar、.zip

　　（5）[DenyExtensions]节设置

　　在这一节设置的所有扩展名文件请求将被拒绝，根据已经发现的漏洞，我们可以在这一节增加内容，一般为以下设置：
.asa、可执行文件、批处理文件、日志文件、罕见扩展如：shtml、.printer等。
使用方法：IIS服务器，相对应的web站点属性，选择ISAPI筛选器，添加urlscanr.dll


7．预防DoS：
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000
PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0

.改变windows系统的一些默认值（例如：数据包的生存时间(TTL)值，不同系统有不同的值，有经验的人可以根据TTL的不同的值判断对方使用的是何种操作系统（例如windows 2000默认值128），我改改改，看你怎么看)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达
目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由
器数量.有时利用此数值来探测远程主机操作系统.

8．防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)

说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文.

9.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
PerFORMRouterDiscovery REG_DWORD 0x0(默认值为0x2)

说明:"ICMP路由公告"功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用
10．设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)

说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓存项在 ArpCacheLife秒后到期.如果ArpCacheLife小于阿ARPCacheMinReferencedLife,未引用项在 ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
11．做NAT时放大转换的对外端口最大值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)

说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近的有效数值(5000或65534).使用NAT时建议把值放大点.
12．防止密码被DUMP，你只需在服务里面关掉Remote regisitery services
13．ACL访问控制表是win2k一个很帅的特点，如果能好好的利用的话，对您的系统将有巨大帮助
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]

[/P user:perm [...]] [/D user [...]]

filename 显示 ACL。

/T 更改当前目录及其所有子目录中

指定文件的 ACL。

/E 编辑 ACL 而不替换。

/C 在出现拒绝访问错误时继续。

/G user:perm 赋予指定用户访问权限。

Perm 可以是: R 读取

W 写入

C 更改(写入)

F 完全控制

/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。

/P user:perm 替换指定用户的访问权限。

Perm 可以是: N 无

R 读取

W 写入

C 更改(写入)

F 完全控制

/D user 拒绝指定用户的访问。

在命令中可以使用通配符指定多个文件。

也可以在命令中指定多个用户。


缩写:

CI - 容器继承。

ACE 会由目录继承。

OI - 对象继承。

ACE 会由文件继承。

IO - 只继承。

ACE 不适用于当前文件/目录。

----------------------------------------------------------------------------


下面给出ACL在cmd下的实现：asp后门的防范
cacls %systemroot%\system32\shell32.dll /e /d guests
cacls %systemroot%system32/dllcache/cmd.exe /E /D guests
使guest用户拒绝访问cmd.exe,从而达到低权限用户的安全保障

14．动态页面的网站常为FSO问题发愁，这里给出禁止FSO的方法
查找注册表：HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值 将其重命名为一别人猜不到的字符串
比如：Set fso=createObject("Scripting.FileSystemObject2001")
DOS下：
Regsvr32 /u c:\windows\system\csrrun.dll
………………………………
其实windows系统还自带的resourcekit包里面的很多好东西=工具虽然小，但是作用却满大的。有空大家尝试啦……我所认为最有用的一些技巧，暂时就整理了这么多，希望大家一起帮忙收集咯。